AUDIT TEKNIK SISTEM INFORMASI - TUGAS SOFTSKILL 1




Audit Teknik Sistem Informasi



Audit teknik sistem informasi adalah proses pengumpulan dan penilaian bukti – bukti untuk menentukan apakah sistem komputer dapat mengamankan aset, memelihara integritas data, dapat mendorong pencapaian tujuan organisasi secara efektif dan menggunakan sumberdaya secara efisien.

Audit berasal dari bahasa Latin ‘Audire’ (B.N.Tandon, 2000, p.l) yang berarti ‘mendengar’, yaitu pada jaman dahulu apabila seorang pemilik usaha merasa ada suatu kesalahan / penyalahgunaan, maka ia akan mendengarkan kesaksian orang tertentu. Audit sesungguhnya dilakukan untuk mengevaluasi apakah kegiatan kerja atau kinerja suatu organisasi sudah sesuai dengan yang direncanakan, sudah efektif, efisien, sesuai dengan pedoman standar produktivitas yang direncanakan.                                                                         Audit merupakan proses sistematis dan objektif dalam memperoleh dan mengevaluasi bukti-bukti tindakan ekonomi, guna memberikan asersi dan menilai seberapa jauh tindakan ekonomi sudah sesuai dengan kriteria berlaku, dan mengkomunikasikan hasilnya kepada pihak terkait. Berikut ini adalah penjelasan mengenai konsep audit, proses audit, teknik audit, regulasi audit, standardan kerangka kerja audit dan yang terakhir manajemen resiko.



Konsep Audit

Audit dan kontrol teknologi informasi menjadi penting karena organisasi membutuhkan acuan, parameter dan kontrol untuk memastikan semua sumber daya perusahaan menuju pada pencapaian tujuan organisasi secara terintegratif dan komprehensif. IT Audit dan Kontrol menjelaskan sebuah proses untuk mereview dan memposisikan IT sebagai instrument penting dalam pencapaian usaha/bisnis korporasi.

IT Audit and Control menggambarkan sebuah proses untuk meninjau dan memposisikan TI sebagai instrumen penting dalam mencapai bisnis / bisnis perusahaan. TI mengaudit dan mengendalikan proses yang sistematis, terencana, dan menggunakan keahlian IT untuk mengetahui tingkat kepatuhan, kinerja, nilai, dan risiko penerapan teknologi.

Konsep Audit & Kontrol Sistem Informasi terdiri sebagai berikut :



      1. Pengamanan aset yang ditingkatkan, yaitu : Perangkat keras, Perangkat lunak, Fasilitas, Orang-orang, Data, Dokumentasi Sistem, Persediaan

      2. Peningkatan integritas data, yaitu : Kelengkapan, Kesehatan, Kemurnian, Kebenaran

      3. Peningkatan efektivitas sistem

      4. Peningkatan efisiensi sistem, yaitu : Waktu Mesin, Periferal, Perangkat Lunak Sistem, Tenaga kerja



Misi sebenarnya dari departemen audit internal adalah untuk membantu meningkatkan keadaan pengendalian internal di perusahaan. Diakui, ini dicapai dengan melakukan audit dan melaporkan hasil, tetapi tindakan-tindakan ini tidak memberikan nilai dalam dan dari diri mereka sendiri. Mereka memberikan nilai hanya ketika masalah kontrol internal diselesaikan.





Misi departemen audit internal ada dua:



     1. Untuk memberikan jaminan independen kepada komite audit (dan manajemen senior) bahwa pengendalian internal ada di perusahaan dan berfungsi secara efektif.

     2. Untuk meningkatkan keadaan pengendalian internal di perusahaan dengan mempromosikan kontrol internal dan dengan membantu perusahaan mengidentifikasi kelemahan kontrol dan mengembangkan solusi yang hemat biaya untuk mengatasi kelemahan tersebut.



    Proses audit



Konsep paling dasar dari audit: kontrol internal. Konsep pengendalian internal sangat penting bagi profesi audit. Misi sebenarnya dari departemen audit internal adalah membantu meningkatkan keadaan kontrol internal di perusahaan. Kontrol internal, dinyatakan dalam istilah yang paling sederhana, adalah mekanisme yang memastikan berfungsinya proses dalam perusahaan.

Tahapan Audit :



1.      Perencanaan

Menentukan apa yang di rencanakan untuk ditinjau. Jika proses perencanaan dilaksanakan secara efektif, itu akan membentuk tim audit untuk sukses. Sebaliknya, jika dilakukan dengan buruk dan pekerjaan dimulai tanpa rencana dan tanpa arah yang jelas, upaya tim audit dapat mengakibatkan kegagalan.



Berikut adalah beberapa sumber dasar yang harus dirujuk sebagai bagian dari setiap proses perencanaan audit:

• Hand off dari manajer audit

• Survei pendahuluan

• Permintaan pelanggan

• Daftar periksa standar

• Penelitian



2.      Kerja lapangan dan dokumentasi

Sebagian besar audit terjadi selama fase ini, ketika langkah-langkah audit yang dibuat selama tahap sebelumnya dilaksanakan oleh tim audit. Sekarang, tim memperoleh data dan melakukan wawancara yang akan membantu anggota tim untuk menganalisa potensi risiko dan menentukan risiko mana yang belum dimitigasi dengan tepat.



3.      Penemuan dan validasi masalah

Saat melaksanakan kerja lapangan, auditor akan mengembangkan daftar masalah potensial. Ini jelas merupakan salah satu fase penting dari audit, dan auditor harus berhati-hati untuk memperdalam daftar masalah potensial untuk memastikan bahwa semua masalah valid dan relevan. Dalam semangat kolaborasi, auditor harus mendiskusikan potensi masalah dengan pelanggan sesegera mungkin.



4.      Pengembangan solusi

Setelah mengidentifikasi potensi masalah di area yang Anda audit dan telah memvalidasi fakta dan risiko, Anda dapat bekerja dengan pelanggan untuk mengembangkan rencana tindakan untuk mengatasi setiap masalah.

Tiga pendekatan umum digunakan untuk mengembangkan dan menugaskan item tindakan untuk mengatasi masalah audit:

Pendekatan rekomendasi

Pendekatan manajemen respons

Pendekatan solusi



5.      Laporan draf dan penerbitan

Setelah menemukan masalah di lingkungan yang diaudit, validasikan dengan pelanggan, dan mengembangkan solusi untuk mengatasinya, selanjutnya dapat menyusun laporan audit. Laporan audit merupakan bentuk dokumentasi dari hasil audit. Dalam hal ini ada dua fungsii utama yaitu :      

Berfungsi sebagai catatan audit, hasilnya dan rencana aksi yang dihasilkan. Untuk manajemen senior dan komite audit, berfungsi sebagai "kartu laporan" di area yang diaudit.



6.    Pelacakan masalah

Audit tidak benar-benar lengkap sampai masalah yang diangkat dalam audit diselesaikan, baik dengan resolusi yang diinginkan atau dengan diterima oleh tingkat manajemen yang sesuai. Departemen audit harus mengembangkan suatu proses di mana para anggotanya dapat melacak dan menindaklanjuti isu-isu sampai mereka terselesaikan. 



Teknik Audit



Audit Pengendalian Entity Level

Pada bagian ini akan membantu Auditor untuk melihat secara keseluruhan dari perusahaan.



·         Audit Data Centers dan Disaster Recovery

Fasilitas pengolahan teknologi informasi (TI), biasanya disebut sebagai pusat data, merupakan inti dari sebagian besar operasi organisasi modern, yang mendukung hampir semua hal yang

kritis aktivitas bisnis.



·         Audit Switch, Routers dan Firewalls

Jaringan adalah latar belakang mendasar dari infrastruktur operasi TI , yang memungkinkan data melintang antara pengguna, penyimpanan data, dan pengolahan data. Router, switch, dan firewall bekerja sama untuk memungkinkan transfer data sekaligus melindungi jaringan, data, dan pengguna akhir.



·         Audit Sistem Operasi

Sistem operasi Sistem operasi Windows telah berkembang dari awal yang sederhana dan berkembang menjadi salah satu sistem operasi paling umum di dunia untuk server dan klien, untuk mencakup komponen dasar dari audit server Windows dan mencakup audit cepat untuk Klien Windows.



·         Audit Web Server dan Web Aplikasi

Pertumbuhan eksplosif di Internet juga mendorong pertumbuhan eksplosif alat pengembangan, bahasa pemrograman, web browser, database, dan berbeda model client-server. Hasil yang tidak menguntungkan adalah model kompleks yang sering dibutuhkan kontrol tambahan untuk mengamankan model.



·         Audit Database

Mengaudit Database membahas tentang audit lockbox informasi perusahaan.



·         Audit Penyimpanan

Penyimpanan audit dan dimulai dengan ikhtisar penyimpanan umum teknologi. Audit penyimpanan menggabungkan kekhawatiran platform dan datanya. Platform memiliki persyaratan kontrol yang sama seperti yang ditemukan di server.



·         Audit Lingkungan Virtual

Inovasi dalam virtualisasi sistem operasi dan perangkat keras server diubah secara permanen jejak, arsitektur, dan operasi pusat data. Mengaudit lingkungan virtualisasi, dan dimulai dengan ikhtisar tentang virtualisasi umum teknologi dan kontrol tombol. Audit virtualisasi menggabungkan kekhawatiran hypervisor dan sistem operasi tamu.



·         Audit WLAN dan Mobile Devices

Mengaudit WLAN dan Telepon genggam yaitu dua audit terpisah, yang dimulai dengan jaringan area lokal nirkabel(WLAN) dan kemudian mencakup perangkat seluler yang mendukung data.



·         Audit Aplikasi

Jejak audit Setiap aplikasi unik, apakah mendukung fungsi keuangan atau operasional, dan oleh karena itu masing-masing memiliki seperangkat persyaratan kontrol tersendiri. Tidak mungkin dokumen persyaratan kontrol spesifik yang akan berlaku untuk setiap aplikasi. Namun, akan menjelaskan beberapa pedoman pengendalian umum yang seharusnya berkenaan dengan aplikasi apapun terlepas dari fungsinya, bahasa pemrogramannya, dan platform teknologi.



·         Audit Cloud Computing dan Outsourced Operations

Mengaudit Komputasi Awan dan Outsource Operasi adalah kunci yang harus dicari saat mengaudit TI operasi yang telah dialihkan ke perusahaan eksternal.



·         Audit proyek perusahaan/organisasi

Proyek Perusahaan Audit adalah kontrol kunci yang harus dicari saat mengaudit proses yang digunakan untuk mengelola proyek perusahaan, termasuk memahami hal-hal berikut yang berkaitan dengan manajemen proyek audit teknologi informasi





Regulasi Audit



Dengan dominannya  penggunaan komputer dalam membantu kegiatan operasional diberbagai perusahaan, maka diperlukan standar-standar kontrol sebagai alat pengendali internal untuk menjamin bahwa data elektronik yang diproses adalah benar. Beberapa jenis standar kontrol yaitu:





   1.      COSO (Comitte Of Sponsoring Organization of the treadway commision’s)

Yang dibentuk pada tahun 1985 dengan tujuan menyatukan pandangan dalam komunitas bisnis yang berkaitan dengan isu-isu seputar pelaporan yang mengandung unsur fraud (penggelapan).



   2.      COBIT (Control Objectives for Information and Related Technology)

Yakni alat pengendalian untuk informasi dan teknologi yang terkait dan merupakan standar terbuka yang dikembangkan oleh pihak ISACA melalui pihak ITGI (Information and Technology Governance Institute) pada tahun 1922 yang memiliki tujuan yaitu mengembangkan, melakukan riset dan mempublikasikan suatu standar teknologi informasi yang diterima oleh umum dan up to date setiap harinya.



         3.      SARBOX (Sarbanes-Oxley Act)

Yaitu merupakan peraturan yang ditandatangani oleh Presiden George W.Bush tanggal 30 juli 2012 untuk mereformasi dunia pasarmodal Amerika Serikat.



         4.       ISO 17799

Yaitu standar untuk sistem manajemen keamanan informasi meliputi dokomen kebijakan keamanan informasi, alokasi keamanan informasi tanggung-jawab, menyediakan semua para pemakai dengan pendidikan dan pelatihan didalam keamanan informasi, mengembangkan suatu sistem untuk pelaporan peristiwa keamanan, memperkenalkan virus kendali, mengembangkan suatu rencana kesinambungan bisnis, mengendalikan pengkopian perangkat lunak kepemilikan, surat pengantar arsip organisatoris, mengikuti kebutuhan perlindungan data, dan menetapkan prosedure untuk mentaati kebijakan keamanan.



         5.       BASEL II

BASEL II dibentuk yaitu sebagai penerapan kerangka pengukuran bagi risiko kredit, sistem ini mensyaratkan Bank-bank  untuk memisahkan eksposurnya ke dalam kelas yang lebih luas, yang menggambarkan kesamaan tipe hutang.



Standar dan Kerangka Kerja Sistem Audit

Standar Audit SI tidak lepas dari standar professional seorang auditor SI. Standar professional adalah ukuran mutu pelaksanaan kegiatan profesi yang menjadi pedoman bagi para anggota profesi dalam menjalankan tanggungjawab profesinya.Standar profesional adalah batasan kemampuan (knowledge, technical skill and professional attitude) minimal yang harus dikuasai oleh seseorang individu untuk dapat melakukan kegiatan profesionalnya pada masyarakat secara mandiri yang aturan-aturannya dibuat oleh organisasi profesi yang bersangkutan. Beberapa diantaranya adalah:

·         ISACA : IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance and Control Professionals

·         IIA : International Professional Practices Framework / IPPF

·         IASII : Standar Audit Sistem Informasi

·         BI : Standar Pelaksanaan Fungsi Audit Intern Bank / SPFAIB

·         BPPT : Framework, Kode Etik & Standar, Pedoman Umum Audit Teknologi.

Manajemen Resiko

Didalam TSI, hal-hal yang perlu diperhatikan salah satunya adalah penilaian resiko. Konsep resiko dalam hal ini meliputi ancaman, kelemahan dan dampak dari penilaian resiko. Ancaman yang sering terjadi salah satunya adalah adanya kompleksitas dari TSI itu sendiri. Berbagai macam elemen dan variasi yang terdapat dalam TSI mewarnai perkembangan TSI kedepannya.                                                                                                                              Keamanan dan pengendalian TSI dewasa ini menjadi kelemahan dalam penilaian resiko. Dalam hal ini, kedua hal tersebut menjadi suatu hal yang patut disorot dan diperhatikan agar dapat berkembang menjadi semakin baik. Memang hal ini bukan suatu hal yang mudah untuk dapat dilakukan, namun dengan melakukannya secara bersama-sama, saling menjaga, merawat dan memeliharanya, niscaya kelemahan ini dapat dikurangi bahkan dihilangkan. Adapun dampaknya adalah aset yang ada dapat terlindungi

Siklus Hidup Manajemen Risiko TSI dimulai dengan identifikasi aset informasi dan berpuncak pada manajemen PT risiko residual. Fase spesifiknya adalah sebagai berikut:





1.    Mengidentifikasi aset informasi

Tahap pertama dalam siklus pengelolaan risiko adalah mengidentifikasi informasi organisasi aktiva. Tujuan dari tahap ini adalah untuk mengidentifikasi semua aset informasi dan menetapkan setiap informasi. Aset merupakan nilai kekritisan yang tinggi, sedang, atau rendah untuk kerahasiaan, integritas, dan persyaratan ketersediaan. Agar sukses, hal yang harus diselesaikan ada beberapa tugas:



·         Tentukan nilai kekritisan informasi.

·         Mengidentifikasi fungsi bisnis.

·         Proses informasi peta.

·         Mengidentifikasi aset informasi.

·         Tetapkan nilai kekritisan pada aset informasi.



2.    Mengukur dan memenuhi syarat ancaman

Tahap siklus pengelolaan risiko ini memerlukan langkah-langkah berikut:



·         Menilai ancaman bisnis.

·         Mengidentifikasi ancaman teknis, fisik, dan administratif.

·         Mengukur dampak dan kemungkinan ancaman.

·         Mengevaluasi arus proses untuk kelemahan.

·         Mengidentifikasi ancaman komponen-komponen.



3.    Menilai kerentanan

Kita akan menggunakan langkah-langkah berikut dalam menganalisis kerentanan:



·         Identifikasi kontrol yang ada dalam kaitannya dengan ancaman.

·         Tentukan gap kontrol komponen proses.

·         Gabungkan celah kontrol ke dalam proses dan kemudian fungsi bisnis.

·         Kategorikan kesenjangan kontrol dengan tingkat keparahan.

·         Tetapkan peringkat risiko.





4.    Remediate control gap

Pada titik ini, risiko harus dikategorikan tinggi, menengah, atau rendah. Gunakan langkah-langkah berikut dalam remisiasi gap: Pilih kontrol.

·         Melaksanakan kontrol.

·         Validasi kontrol baru.

·         Hitung ulang peringkat risiko

·         Mengelola risiko residual, Fase ini terdiri dari dua tahap:

·         Buat garis dasar risiko

·         Menilai kembali risiko







Referensi :




IT Auditing : Using controls to protect information assets, Chris Davis, Mike Sciller, McGrowHill, 2011.

Audit dan Kontrol Teknologi Informasi, Mardhani Riasetiawan, Inside technology Publisher, 2016.

Komentar

Posting Komentar

Postingan populer dari blog ini

cara dan sistem kerja gojek

Gambar
 CARA DAN SISTEM KERJA GO - JEK cara kerja Go - jek Cara kerja Gojek Untuk Antar Jemput, Go-Ride (Ngojek) Mengingat proses pesan Gojek ini melalui aplikasi, maka aplikasi tersebut dapat dikatakan sebagai jendela untuk berkomunikasi antara konsumen sebagai calon penumpang/pengguna jasa dan Gojek sebagai penyedia aplikasi Gojek. Dalam cara kerja Gojek untuk Go-Ride atau layanan antar jemput, maka ada 3 objek yang akan terlibat dalam sistem kerja Gojek Go-Ride yaitu konsumen, Gojek dan driver Gojek. Konsumen melakukan pemesanan ojek melalui aplikasi Gojek dengan memasukan alamat penjemputan dan alamat tujuan. Informasi tarif otomatis keluar setelah kedua alamat tersebut diisi sehingga konsumen tahu berapa ongkosnya nanti. Selanjutnya aplikasi Gojek akan memproses pesanan tersebut dengan menggunakan algoritma tertentu untuk pencarian driver Gojek yang akan mengantarkan calon penumpang tersebut. Driver Gojek yang berh...
Baca selengkapnya

PENJELASAN SINGKAT MENGENAI SERVICE STRATEGY DAN SERVICE DESIGN DALAM I.T.I.L

Gambar
SERVICE STRATEGY Service Strategy (Strategi Layanan) adalah salah satu publikasi inti IT Infrastructure Library (ITIL) framework yang digunakan di dalam penerapan IT Service Management (ITSM). Dari judulnya, buku pertama ITIL ini bertujuan untuk memberikan panduan tentang pentingnya bagi semua organisasi untuk menyelaraskan strategi bisnis yang didefinisikan dengan baik dengan strategi ICT yang efektif. Organisasi yang ingin menerapkan ITSM seharusnya memikirkan strategi yang dibutuhkan di dalam memberikan layanan untuk pelanggan seperti menetapkan visi, tujuan, kebijakan, persyaratan dan target untuk tahap siklus proses dan fungsi yang di dalam buku ITIL berikutnya yaitu Service Design, Service Transition & Continual Service Improvements. Dengan semakin banyaknya organisasi-organisasi yang ingin menerapkan ITSM langsung dengan tools, banyaklah pula kendala yang diketahui sewaktu implementasi tools. Mengapa? Karena secara sederhana, strategi akan memutuskan dan membena...
Baca selengkapnya
Gambar
BEBERAPA CONTOH KEINDAHAN SENI LUKISAN VINCENT VAN GOGH Pemakan kentang (The Potato Eaters) De aardappeleters, The Potato Eaters, atau Pemakan Kentang adalah sebuah lukisan karya pelukis Belanda, Vincent van Gogh. Lukisan ini dilukis pada bulan April 1885 di Nuenen, Belanda dan sekarang tersimpan di Van Gogh Museum di Amsterdam. Selama bulan Maret dan awal April 1885 ia mempersiapkan sketsa untuk lukisan, dan meminta pendapat adiknya, Theo. Namun Theo tidak tertarik sama sekali dengan karya-karyanya ataupun sketsa yang dikirimkan Vincent padanya. Vincent van Gogh mengerjakan lukisan ini dari tanggal 13 April sampai permulaan Mei, sampai hampir semua bagian selesai namun ada beberapa perubahan kecil pada tahun yang sama. Van Gogh mengatakan bahwa ia ingin menampilkan lukisan para petani semirip mungkin dengan aslinya. Dengan sengaja ia memilih model yang bertampang buruk dan kasar, supaya bisa terlihat alami dan asli:"Saya ingin menyampaikan ide bahwa orang-orang yang se...
Baca selengkapnya